Ho creato un pulsante del trattino usando il microcontrollore ESP8266. Il microcontrollore dovrebbe dare una risposta a un servizio di Rest in Web ASP di ASP.NET per attivare un'azione. Come posso rendere sicura questa chiamata API? L'azione dovrebbe essere attivata solo da questo microcontrollore specifico. La riproduzione della chiamata Api potrebbe non essere possibile.
Come posso archiviare questo?
Penso alla risposta alle sfide con un client segreto (esp8266) e server sa.
Si vorrebbe una lunga lista di segreti sui file SPIFFS (rimuovendo dopo l'uso) o si rintracciano i segreti usati (e si cerca l'utilizzo usando una serie di lettere 1a lettera \ 2nd lettera nidificate) per prevenire un attacco di riproduzione.
Un pulsante di trattino è semplice; a seconda delle altre librerie e del codice, probabilmente hai ancora abbastanza RAM per utilizzare HTTPS (a seconda del certificato). Ciò renderebbe il replay molto più difficile dal momento che le precedenti ipotesi sarebbero "oscure" per gli osservatori. È probabile che riutilizzi le chiavi o almeno parti di chiavi se utilizzi HTTPS.
Un'altra opzione sarebbe quella di usare ESPNOW sicuro per parlare con un altro ESP che ha un controller Ethernet che parla attraverso il cavo a un PC che usa HTTPS per parlare al mondo esterno e può ulteriormente autenticare le richieste in un ambiente PC ( molte opzioni facili) invece di un ambiente MCU (poche opzioni rigide).
Leggi altre domande sui tag iot challenge-response